Teknogav.com – Fitur undangan grup (team invitation) dan undangan tim OpenAI ternyata bisa dimanffaatkan untuk mengirim email spam dari alamat resmi OpenAI. Celah ini berpotensi dimanfaatkan untuk mengelabui untuk mengklik tautan peipuan atau menghubungi nomor telepon palsu yang dicantumkan dalam email tersebut. Modus penipuan yang memanfaatkan platform OpenAI tersebut berhasl dideteksi oleh Kaspersky.

Penyerang mengawali kampanye spam dengan mendaftarkan akun di platform OpenAI. Pada kolom nama organisasi, penyerang dapat memasukkan nama organisasi yang terdiri dari kombinasi berbagai simbol, termasuk teks dan tautan berbahaya. Penyerang bahkan bisa memasukkan nomor telepon palsu untuk menyesatkan calon korbannya.

Baca juga: Apa yang Terjadi Jika Email Tak Dibuka? Ini Pemaparan Kaspersky

Penipu menyisipkan teks menyesatkan dan tautan atau nomor telepon palsu langsung ke dalam kolom "nama organisasi"

OpenAI menyediakan fitur untuk “mengundang tim Anda” setelah selesai membuat “organisasi”. Fitur tersebut dapat diisi alamat email calon korban.
 

Kolom "undang tim Anda" memungkinkan penyerang untuk menargetkan alamat email tertentu

Ketika undangan dikirim, asal pengiriman dari alamat OpenAI sehingga terlihat resmi dari sudut pandang teknis. Kaspersky berhasil mendeteksi beberapa jenis email berbahaya yang dikirim dengan modus ini. Email tersebut berisi promosi penawaran palsu, seperti layanan dewasa. 

Serangan lain berisi pemberitahuan palsu yang seolah-olah memberi tahu pembaruan berlangganan dalam jumlah besar, modus ini akan mengarah ke vishing. Korban akan diarahkan untuk menghubungi nomor telepon yang tercantum untuk membatalkan tagihan atau tindakan lain yang berisiko mengancam keamanan siber. Kemungkinan ada juga jurus lain yang menggunakan modus pengiriman email melalui platform OpenAI tersebut.

Penyerang menandai teks yang ingin dibaca korbannya dengan huruf tebal dalam template email. Teks tersebut tidak konsisten dengan bagian lain dari template email secara struktur. Awalnya susunan ini dirancang untuk mengundang kolaborator proyek, karena penyerang yakin korban tidak akan memperhatikan.

Baca juga: Awas, Jangan Terjebak Phishing Berkedok Google Terjemahan

Contoh email penipuan

 

Contoh vishing

"Kasus ini menyoroti kerentanan tentang bagaimana fitur platform dapat dimanfaatkan sebagai senjata untuk serangan email rekayasa sosial. Dengan menyematkan elemen-elemen yang menyesatkan di bidang yang tampaknya tidak berbahaya seperti nama organisasi, penyerang mencoba untuk melewati filter email tradisional dan mengeksploitasi kepercayaan pengguna pada layanan bereputasi. Kami mendesak semua pengguna untuk memverifikasi undangan dengan cermat dan menghindari mengklik tautan yang disematkan tanpa pemeriksaan. Kami juga merekomendasikan brand untuk mempertimbangkan apakah layanan atau platform online mereka dapat disalahgunakan oleh penyerang," ucap Anna Lazaricheva, analis spam senior di Kaspersky.

Baca juga: Peretas Catut Nama Pos Indonesia untuk Phishing Data Kartu Kredit

Tips Aman dari Penipuan Siber

Kaspersky memberikan beberapa rekomendasi berikut ini agar dapat senantiasa aman dari jurus penipuan yang dilancarkan penjahat siber:

• Waspadai undangan yang tidak diminta dari platform mana pun, bahkan jika tampaknya berasal dari sumber tepercaya.
• Periksa URL tautan cermat sebelum mengklik.
• Jangan menghubungi nomor telepon yang dicantumkan dalam email mencurigakan. Jika perlu menghubungi dukungan layanan tertentu, sebaiknya cari nomor telepon di halaman web resmi layanan tersebut.
• Laporkan email mencurigakan ke penyedia platform dan gunakan autentikasi multi-faktor untuk semua akun.
• Gunakan solusi keamanan email yang memberikan perlindungan kuat terhadap berbagai ancaman dan andal dalam menghadapi risiko siber yang terus berubah. Salah satu solusi yang dapat digunakan adalah Kaspersky Security for Mail Server. Solusi tersebut dilengkapi dengan mekanisme pertahanan berlapis dengan dukungan algoritma pembelajaran mesin untuk memberi perlindungan kuat.
• Gunakan solusi keamanan yang membantu menghindari serangan phishing dan meningkatkan keamanan siber secara keseluruhan bagi pengguna individu. Salah satu solusi yang dapat digunakan adalah Kaspersky premium yang dilengkapi fitur anti-phshing berbasis AI.

Demikianlah beberapa tips yang diberikan Kaspersky agar dapat senantiasa di ranah siber.